O grupo de espionagem conhecido como ToddyCat tem explorado uma falha de segurança em um antivírus da ESET para instalar malware em sistemas comprometidos. A descoberta foi feita por analistas da Kaspersky, que investigaram a campanha.
Leia também
França e Reino Unido discutem ferramentas de intrusão
Falhas com CVSS elevado estão sob ataque
A brecha explorada está no scanner de linha de comando da ESET e envolve o carregamento indevido de bibliotecas DLL. Em vez de buscar os arquivos na pasta do sistema, como seria o comportamento correto, o antivírus acaba carregando arquivos diretamente de sua própria pasta de instalação. Isso abre espaço para que atacantes incluam DLLs maliciosas que serão executadas de forma disfarçada. A ESET corrigiu o problema e divulgou a falha no dia 4 de abril.
Uma vez com acesso ao sistema, os operadores do ToddyCat utilizam um driver vulnerável da Dell como parte de sua ferramenta maliciosa. O driver é explorado para alterar estruturas internas do kernel, responsáveis por notificar o sistema sobre eventos. Com isso, a carga maliciosa consegue se esconder com mais facilidade, driblando mecanismos de detecção. Segundo a Kaspersky, o objetivo da operação é obter dados sensíveis dos alvos.
